Que faire après qu'un compte de domaine Windows a été compromis?

14

Nous nous préparons à un scénario où l'un des comptes d'un domaine est compromis - que faire ensuite?

La désactivation du compte serait ma première réponse, mais nous avons eu des pentesters ici il y a quelques semaines et ils ont pu utiliser les connexions hachées d'un utilisateur administrateur qui est parti il ​​y a quelques mois.

Jusqu'à présent, nos deux réponses sont les suivantes:

  1. Supprimez le compte et recréez-le (crée un nouveau SID mais aussi plus de drame pour l'utilisateur et travaillez pour nous)
  2. Modifiez le mot de passe au moins 3 fois et désactivez le compte

Quelle serait votre méthode ou que recommanderiez-vous?

active-directory security JurajB
la source
1
Si c'est un compte d'administrateur qui a été compromis, alors créez plus de comptes d'administrateur à vos propres fins. S'il s'agit d'un compte privé faible (utilisateur normal), effectuez des analyses de réseau et recherchez un compte administrateur pour faire des compromis. Posséder un utilisateur régulier met le pied dans la porte pour effectuer des attaques plus "ciblées".
blaughw
4
Voulez-vous dire que le compte de l'utilisateur administrateur qui a quitté il y a quelques mois n'a pas été désactivé lors du départ de cette personne? Je suppose que je ne vois pas comment cet exemple parle de l'efficacité ou de l'inefficacité de la désactivation des comptes. Quelle est la justification pour changer le mot de passe 3 fois plutôt qu'une fois?
Todd Wilcox
@ToddWilcox, le compte a été désactivé dès que la personne est partie et les groupes ont été supprimés (c'est une pratique standard lorsque les gens partent), mais ils ont prétendu avoir pu y accéder en l'utilisant.
JurajB
Donc, il n'a pas été supprimé correctement - vous voulez que les jetons soient expirés et l'accès à ce compte supprimé sur tous les systèmes
Rory Alsop

Réponses:

8

Si seul un compte d'utilisateur standard est compromis, alors changer une fois le mot de passe et laisser le compte activé devrait être bien. Un hachage ne fonctionnera pas une fois le mot de passe modifié. Cela ne fonctionnera pas non plus si le compte est désactivé. En tant que testeur de stylo moi-même, je me demande si les testeurs de stylo utilisaient des tickets Kerberos. Dans certaines circonstances, ceux-ci peuvent continuer à fonctionner si un mot de passe est modifié, ou si un compte est désactivé OU même supprimé (voir les liens pour l'atténuation).

Si un compte d'administrateur de domaine a été compromis, il est littéralement terminé. Vous devez mettre votre domaine hors ligne et modifier CHAQUE mot de passe. Le mot de passe du compte krbtgt devrait également être modifié deux fois, sinon les attaquants pourront toujours émettre des tickets Kerberos valides avec les informations qu'ils ont volées. Une fois que vous avez fait tout cela, vous pouvez remettre votre domaine en ligne.

Mettez en œuvre une stratégie de verrouillage de compte afin que les mots de passe modifiés ne puissent pas être devinés. Ne renommez pas vos comptes. Les attaquants peuvent facilement trouver les noms de connexion.

Un autre point important est de former vos utilisateurs. Ils ont probablement fait quelque chose d'imprudent qui signifiait que le compte était compromis. L'attaquant ne connaît peut-être même pas le mot de passe, il peut simplement exécuter des processus en tant que ce compte. Par exemple, si vous ouvrez une pièce jointe de malware qui permet à un attaquant d'accéder à votre machine, il s'exécutera en tant que votre compte. Ils ne connaissent pas votre mot de passe. Ils ne peuvent pas obtenir le hachage de votre mot de passe, sauf si vous êtes administrateur. Ne laissez pas les utilisateurs s'exécuter en tant qu'administrateurs locaux sur leurs postes de travail. Ne laissez pas les administrateurs de domaine se connecter aux postes de travail avec les droits d'administrateur de domaine - jamais!

Liens pour plus d'informations / atténuations:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
la source
Et si vous travaillez dans un environnement relativement permissif, comme le milieu universitaire? Vous avez peut-être affaire à des utilisateurs qui ont une permanence et ne veulent pas être «formés», et parce qu'ils ont une permanence, vous n'êtes pas autorisé à vous en débarrasser ou à réduire leurs privilèges.
Katherine Villyard
3
Je recommande toujours les meilleures pratiques. Il y aura toujours certains types d'organisations qui ne pourront pas le mettre en œuvre à 100% Certaines personnes se considèrent comme au-dessus de la loi, et certaines organisations considèrent la tenure / egos comme plus important que l'application équitable et uniforme des politiques / sécurité. Ces personnes et ces organisations devront assumer la responsabilité des conséquences de leurs actes. Espérons que ces organisations universitaires ne s'occupent pas de recherches importantes qui pourraient être utiles aux intérêts étrangers .....
bao7uo
1
J'ai fait quelques cours MVA sur le ticket d'or et l'atténuation pth mais je croyais qu'il se souvient de 2 mots de passe, vous devez donc le changer au moins deux fois, pas seulement une fois. Même le script pour krbtgt le fait deux fois.
JurajB
1
ne peut pas éditer ce qui précède donc en ajoutant: Même le script pour krbtgt le fait deux fois. Le meilleur choix (pour le compte utilisateur) ne serait-il pas alors de changer deux fois le mot de passe puis de désactiver le compte?
JurajB
2
You need to bring your domain offline. Cela peut fonctionner pour un petit bureau, mais il est peu probable qu'une grande entreprise puisse simplement déconnecter son domaine / forêt.
Greg Askew
12

ils ont pu utiliser les connexions hachées d'un utilisateur administrateur qui est parti il ​​y a quelques mois.

Les hachages d'informations d'identification volées ne fonctionnent pas pour les comptes désactivés, sauf s'ils se trouvent sur un ordinateur non connecté au réseau. Le processus doit toujours demander un ticket ou s'authentifier auprès d'un contrôleur de domaine. Impossible de le faire si le compte est désactivé.

Vous devez désactiver les comptes administratifs des anciens employés lorsqu'ils partent.

Greg Askew
la source
Comment les hachages d'informations d'identification volés aident-ils l'attaquant? S'ils n'ont pas le mot de passe réel, il n'y a aucun moyen de le récupérer à partir du hachage (sauf pour obtenir de petits mots de passe à l'aide de tables arc-en-ciel), n'est-ce pas? Je ne sais pas ce que je manque ici.
Chirag Bhatia - chirag64
1
@ ChiragBhatia-chirag64 Vous supposez que les schémas d'authentification sont résistants à la relecture. Ils peuvent ne pas l'être, auquel cas les hachages sont tout ce dont vous avez besoin pour vous authentifier.
Jonas Schäfer
Pouvez-vous donner un exemple où le schéma d'authentification Windows utilise le hachage réel au lieu du mot de passe texte? Désolé si cela ressemble à une question stupide, je n'ai jamais vu une telle implémentation auparavant (ou peut-être que je comprends mal le mécanisme d'authentification Windows)
Chirag Bhatia - chirag64
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
Greg Askew
@GregAskew merci, je ne savais pas que c'était une chose dans l'authentification Windows. C'est un peu surprenant qu'ils n'utilisent pas quelque chose comme SSL pour envoyer le mot de passe à la place. Cela me semble être un énorme problème de sécurité.
Chirag Bhatia - chirag64
3

En supposant un compte utilisateur standard, vous pouvez envisager:

  1. Modifiez le mot de passe.
  2. Désactivez le compte.
  3. Renommez le compte (nom d'utilisateur suspect) et créez un nouveau compte pour l'utilisateur concerné.
  4. Ajoutez le compte suspect à un groupe de sécurité "Utilisateurs désactivés / compromis".

Pour # 4, avez déjà en place une stratégie de groupe qui fait ce qui suit:

  • Refuser l'accès à cet ordinateur à partir du réseau: "Utilisateurs handicapés / compromis"
  • Refuser la connexion via les services Bureau à distance: "Utilisateurs désactivés / compromis"
  • Refuser la connexion localement: "Utilisateurs désactivés / compromis"

Pour un compte d'administrateur de domaine, l'ensemble de votre réseau est toast.

Katherine Villyard
la source
pourquoi proposez-vous de changer le mot de passe plus d'une fois?
bao7uo
si un compte d'administrateur de domaine a été compromis, cela signifie que chaque compte d'utilisateur est compromis. les feriez-vous renommer chaque compte d'utilisateur?
bao7uo
1
@PHPaul: Selon l'incursion, si un compte est toujours utilisé, le changement de nom peut être une tactique valide. Et bien sûr, ils ne recommandent pas de renommer chaque compte.
Greg Askew